Demonstraties voor gecontroleerde maptoegang (CFA) (ransomware blokkeren)

Van toepassing op:

• Plan 1 voor Microsoft Defender voor Eindpunt
• Plan 2 voor Microsoft Defender voor Eindpunt

Gecontroleerde toegang tot mappen helpt u waardevolle gegevens te beschermen tegen schadelijke apps en bedreigingen, zoals ransomware. Microsoft Defender Antivirus beoordeelt alle apps (uitvoerbaar bestand, inclusief .exe, .scr, .dll bestanden en andere) en bepaalt vervolgens of de app schadelijk of veilig is. Als wordt vastgesteld dat de app schadelijk of verdacht is, kan de app geen wijzigingen aanbrengen in bestanden in een beveiligde map.

Scenariovereisten en installatie

• Windows 10 1709 build 16273
• Microsoft Defender Antivirus (actieve modus)

PowerShell-opdrachten

Set-MpPreference -EnableControlledFolderAccess (State)

Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\

Regelstatussen

Status	Modus	Numerieke waarde
Uitgeschakeld	= Uit	0
Ingeschakeld	= Blokmodus	1
Audit	= Controlemodus	2

Configuratie controleren

Get-MpPreference

Testbestand

CFA ransomware testbestand

Scenario's

Configuratie

Download dit installatiescript en voer dit uit. Voordat u het script uitvoert, stelt u het uitvoeringsbeleid in op Onbeperkt met behulp van deze PowerShell-opdracht:

Set-ExecutionPolicy Unrestricted

U kunt in plaats daarvan deze handmatige stappen uitvoeren:

1. Creatie een map onder c: met de naam demo, 'c:\demo'.

2. Sla dit schone bestand op in c:\demo (we hebben iets nodig om te versleutelen).

3. PowerShell-opdrachten uitvoeren die eerder in dit artikel zijn vermeld.

Scenario 1: CFA blokkeert ransomware-testbestand

1. Cfa inschakelen met de PowerShell-opdracht:

Set-MpPreference -EnableControlledFolderAccess Enabled

2. Voeg de demomap toe aan de lijst met beveiligde mappen met behulp van de PowerShell-opdracht:

Set-MpPreference -ControlledFolderAccessProtectedFolders C:\demo\

3. Download het ransomware-testbestand
4. Voer het ransomware-testbestand uit *dit is geen ransomware, het probeert eenvoudig c:\demo te versleutelen

Verwachte resultaten scenario 1

5 seconden na het uitvoeren van het ransomware-testbestand ziet u een melding CFA geblokkeerd de versleutelingspoging.

Scenario 2: wat zou er gebeuren zonder CFA

1. Schakel CFA uit met deze PowerShell-opdracht:

Set-MpPreference -EnableControlledFolderAccess Disabled

2. Het ransomware-testbestand uitvoeren

Verwachte resultaten van scenario 2

• De bestanden in c:\demo zijn versleuteld en u krijgt een waarschuwingsbericht
• Voer het ransomware-testbestand opnieuw uit om de bestanden te ontsleutelen

Opschonen

Download dit opschoonscript en voer dit uit. U kunt in plaats daarvan deze handmatige stappen uitvoeren:

Set-MpPreference -EnableControlledFolderAccess Disabled

C:\demo-versleuteling opschonen met behulp van het bestand versleutelen/ontsleutelen

Zie ook

Beheerde maptoegang

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.